NRC: inbraak op netwerk chipfabrikant NXP via accounts van medewerkers
Een groep vanuit China opererende cyberspionnen had meer dan twee jaar ongemerkt toegang tot het netwerk van de Nederlandse chipfabrikant NXP, zo laat NRC vandaag weten. De aanvallers wisten door middel van accounts van medewerkers binnen te dringen en hadden het voorzien op chipontwerpen en ander intellectueel eigendom. Systemen van NXP zouden van eind 2017 tot begin 2020 zijn gecompromitteerd.
In eerste instantie wisten de aanvallers toegang tot het bedrijfsnetwerk te krijgen met reguliere accounts van medewerkers. De gebruikte accountgegevens waren afkomstig uit eerdere datalekken bij andere websites en online diensten. Vervolgens wisten de aanvallers door middel van een bruteforce-aanval toegang tot het VPN-netwerk te krijgen. NXP maakt gebruik van tweefactorauthenticatie, waarbij de extra code via de telefoon wordt verkregen. De aanvallers weten dit te omzeilen door de telefoonnummers te wijzigen.
Zodra er toegang tot een systeem is verkregen bewegen de aanvallers zicht lateraal door het netwerk, waarbij ze aangetroffen gevoelige data stelen. Op basis van aangetroffen logbestanden blijkt dat de aanvallers elke paar weken komen kijken of erbij NXP nieuwe data is te vinden, en of nog meer gebruikersaccounts en delen van het netwerk kunnen worden gecompromitteerd.
Transavia
De inbraak bij NXP komt aan het licht na onderzoek bij luchtvaartmaatschappij Transavia. Uit loggegevens blijkt dat de aanvallers die bij Transavia inbraken ook verbinding maken met ip-adressen in Eindhoven, waar het hoofdkantoor van NXP staat. Securitybedrijf Fox-IT dat de inbraken onderzoekt publiceert in 2021 deze blogposting over de aanvallen, maar maakt daarbij niet de namen van de getroffen bedrijven bekend. Wel staat daar dat de aanvallers gebruikersnamen en wachtwoorden afkomstig uit eerdere datalekken gebruiken bij aanvallen om toegang tot accounts te krijgen."Na het verkrijgen van toegang tot een geldig account, gebruiken ze dit account om toegang tot het VPN-netwerk, Citrix of andere remote service te krijgen die toegang tot het netwerk van het slachtoffer biedt. Informatie over deze remote services is afkomstig uit mailbox, clouddrive of andere clouddienst die via het gecompromitteerde account toegankelijk is", zo laat Fox-IT weten. In een reactie stelt NXP dat de inbraak niet voor 'materiële schade' voor de bedrijfsvoering zorgde.
Reacties (30)
$5 wrench - https://xkcd.com/538/
24-11-2023, 14:51 door
Anoniem
Wel staat daar dat de aanvallers gebruikersnamen en wachtwoorden afkomstig uit eerdere datalekken gebruiken bij aanvallen om toegang tot accounts te krijgen.
Een prachtig voorbeeld wat de impact is van een totaal verkeerd beveiligingsbeleid: Credential Stuffing zou bij dit soort bedrijven al helemaal niet mogelijk mogen zijn. Dat betekent dus dat je niet zelf je wachtwoorden en gebruikersnamen mag kiezen, maar dat dit door het ICT-beheer moet worden verstrekt.
24-11-2023, 15:19 door
Anoniem
gelukkig not on my watch...
24-11-2023, 15:23 door
Anoniem
"Bij NXP nemen we databeveiliging zeer serieus." (bron: NRC)
Ja, dank je de koekoek NXP! Inbrekers bijna 2 jaar in je systemen ongemerkt laten rondneuzen, noem ik niet echt het toepassen van serieuze beveiliging!
24-11-2023, 16:54 door
Anoniem
Een prachtig voorbeeld van amerika-ingefluisterde FUD machine op volle toeren..
Het gaat om een inbraak uit 2017 for gods sake... Dat is echt al prehistorie in de digitale wereld... al 6 jaar geleden..
Wordt nu gebracht als 'breaking news'... de chinezen vallen ons aan....
Ik heb nog nooit zoveel war-mongring meuk gezien als voor vietnam oorlog, de oorlog in korea en de 2e of derde keer afganistan en daarna iraq... laat me raden... er komt vast een goede reden (freedom fries of liberty cabage vind ik geen goede reden) om china binnen te vallen... want er stond 1 ali-express medewerker op taiwaneese grond ofzo..
of de oeigoeren... ook zo hypocriet als iets... want als turkije op de pkk schiet is anti-terrorisme, omdat we ze nodig hebben in de nato en vriendje van eu, voordat ze nog meer pro-russisch worden en/of vluchtelingen naar griekenland duwen... cyprus is namelijk ook zo'n pus-etterende wond tussen turkije en griekenland.
ik heb nog steeds geen bewijs gezien dat de chinezen dat waren... ik weet wel dat omgeveer in de tijd de Quallcomm NXP wilde kopen...en ik kan me goed voorstellen dat de VS eerst gaat grasduinen in het netwerk van NXP voordat ze Quallcomm dat laten kopen...
Worden ze betrapt, roepen 'china !!"...
dat scenario lijkt me voor de hand liggender...
Het gaat om een inbraak uit 2017 for gods sake... Dat is echt al prehistorie in de digitale wereld... al 6 jaar geleden..
Wordt nu gebracht als 'breaking news'... de chinezen vallen ons aan....
Ik heb nog nooit zoveel war-mongring meuk gezien als voor vietnam oorlog, de oorlog in korea en de 2e of derde keer afganistan en daarna iraq... laat me raden... er komt vast een goede reden (freedom fries of liberty cabage vind ik geen goede reden) om china binnen te vallen... want er stond 1 ali-express medewerker op taiwaneese grond ofzo..
of de oeigoeren... ook zo hypocriet als iets... want als turkije op de pkk schiet is anti-terrorisme, omdat we ze nodig hebben in de nato en vriendje van eu, voordat ze nog meer pro-russisch worden en/of vluchtelingen naar griekenland duwen... cyprus is namelijk ook zo'n pus-etterende wond tussen turkije en griekenland.
ik heb nog steeds geen bewijs gezien dat de chinezen dat waren... ik weet wel dat omgeveer in de tijd de Quallcomm NXP wilde kopen...en ik kan me goed voorstellen dat de VS eerst gaat grasduinen in het netwerk van NXP voordat ze Quallcomm dat laten kopen...
Worden ze betrapt, roepen 'china !!"...
dat scenario lijkt me voor de hand liggender...
24-11-2023, 17:39 door
Anoniem
Door Xavier Ohole: $5 wrench - https://xkcd.com/538/
('rubber hose cryptanalysis' ).
Aardig,maar totaal niet relevant als illustratie bij deze aanval .
Gezien de genoemde methoden - feitelijk (slechts) hergebruikte passwords , VPN bruteforce - die niet opviel - 2 jaar rondlopen zonder detectie - was de security totaal niet berekend op het kaliber aanvallers waar een partij als NXP rekening mee moet houden.
24-11-2023, 19:35 door
Anoniem
Door Anoniem:
Hoe ga jij precies voorkomen dat het e-mail adres en wachtwoord wat jij als ICT-beheer verstrekt hebt aan de medewerkers door heb worden ingevoerd bij het maken van een account bij een webshop ofzo? Misschien zelfs vanaf de computer thuis?Wel staat daar dat de aanvallers gebruikersnamen en wachtwoorden afkomstig uit eerdere datalekken gebruiken bij aanvallen om toegang tot accounts te krijgen.
Een prachtig voorbeeld wat de impact is van een totaal verkeerd beveiligingsbeleid: Credential Stuffing zou bij dit soort bedrijven al helemaal niet mogelijk mogen zijn. Dat betekent dus dat je niet zelf je wachtwoorden en gebruikersnamen mag kiezen, maar dat dit door het ICT-beheer moet worden verstrekt.
24-11-2023, 19:49 door
Anoniem
: Credential Stuffing zou bij dit soort bedrijven al helemaal niet mogelijk mogen zijn.
Overal waar niet MFA is werkt credential stuffing. Overal.
24-11-2023, 20:40 door
johanw
Door Anoniem:
Wel staat daar dat de aanvallers gebruikersnamen en wachtwoorden afkomstig uit eerdere datalekken gebruiken bij aanvallen om toegang tot accounts te krijgen.
Een prachtig voorbeeld wat de impact is van een totaal verkeerd beveiligingsbeleid: Credential Stuffing zou bij dit soort bedrijven al helemaal niet mogelijk mogen zijn. Dat betekent dus dat je niet zelf je wachtwoorden en gebruikersnamen mag kiezen, maar dat dit door het ICT-beheer moet worden verstrekt.Het gevolg daarvan is dat die wactwoorden opgeschreven worden en op briefjes circuleren. Maar dat is in elk geval niet te stelen via internet.
25-11-2023, 00:51 door
Anoniem
Door Anoniem:
Volledig mee eens."Bij NXP nemen we databeveiliging zeer serieus." (bron: NRC)
Ja, dank je de koekoek NXP! Inbrekers bijna 2 jaar in je systemen ongemerkt laten rondneuzen, noem ik niet echt het toepassen van serieuze beveiliging!Op een eerder moment +/- 8 jaar geleden opperde ik hier het voorstel om bedrijfsgevoelige systemen onafhankelijk te laten functioneren, dus zonder internet.
LOS KOPPELEN/Gescheiden opstelling of zo.
Wat een diep bedroevende security met een veel te hoog salaris loopt daar rond.
25-11-2023, 09:51 door
Anoniem
Door Anoniem:
Beveiliging serieus nemen is iets anders dan serieuze beveiliging. Iemand die veel te naïef is op het gebied van beveiliging kan het bloedserieus nemen zonder te beseffen dat de bloedserieus genomen maatregelen zwaar ontoereikend zijn."Bij NXP nemen we databeveiliging zeer serieus." (bron: NRC)
Ja, dank je de koekoek NXP! Inbrekers bijna 2 jaar in je systemen ongemerkt laten rondneuzen, noem ik niet echt het toepassen van serieuze beveiliging!Van een chipfabrikant bevreemdt het me dan wel weer dat zo naïef te zijn. Aan de andere kant, ik heb zelf ondervonden hoe onder hoge werkdruk de kwaliteit van je denken en dus ook van je keuzes en beslissingen achteruit gaat. Misschien is de kennis er in essentie wel maar niet de rust en ruimte die nodig is om die kennis goed toe te passen.
25-11-2023, 10:09 door
Drs Security en Privacy
Duidelijk geval van hergebruiken van wachtwoorden, slecht beveiligde 2FA doos zodat ze de telefoon nummers konden wijzigen.
Overigens, heel verstandig eerst een ander nederlands bedrijf te hacken en die dan als stepping stone te misbruiken. Daardoor faalt de check op GeoIP. De luchtvaart sector staat overigens niet bepaald erg bekend voor zijn informatiebeveiliging, dus tja ook dat is weer niet zo verbazend.
En dat ze 2 jaar konden rondneuzen? Als je legitieme authenticatie kan gebruiken, hoe wil je dat dan detecteren?
Dat zouden dan de gebruikers zelf moeten hebben kunnen doen, want als de 06 nummers ineens zijn gewijzigd doet jouw 2FA het niet meer (tenzij er een tweede nummer aan toegevoegd is of ze extra accounts hebben aangemaakt).
Overigens had dit net zo goed elk ander willekeurig Nederlands bedrijf kunnen zijn, omdat het toevallig NXP is (voormalig Phillip) is het nu ineens nieuws?
Overigens, heel verstandig eerst een ander nederlands bedrijf te hacken en die dan als stepping stone te misbruiken. Daardoor faalt de check op GeoIP. De luchtvaart sector staat overigens niet bepaald erg bekend voor zijn informatiebeveiliging, dus tja ook dat is weer niet zo verbazend.
En dat ze 2 jaar konden rondneuzen? Als je legitieme authenticatie kan gebruiken, hoe wil je dat dan detecteren?
Dat zouden dan de gebruikers zelf moeten hebben kunnen doen, want als de 06 nummers ineens zijn gewijzigd doet jouw 2FA het niet meer (tenzij er een tweede nummer aan toegevoegd is of ze extra accounts hebben aangemaakt).
Overigens had dit net zo goed elk ander willekeurig Nederlands bedrijf kunnen zijn, omdat het toevallig NXP is (voormalig Phillip) is het nu ineens nieuws?
25-11-2023, 10:13 door
Anoniem
Door Anoniem: Een prachtig voorbeeld van amerika-ingefluisterde FUD machine op volle toeren..
Het gaat om een inbraak uit 2017 for gods sake... Dat is echt al prehistorie in de digitale wereld... al 6 jaar geleden..
Wordt nu gebracht als 'breaking news'... de chinezen vallen ons aan....
Wat nu bekend wordt is nu nieuws. Ik zie NRC de term "breaking news" helemaal niet gebruiken, en security.nl ook niet. Die voeg je zelf toe. Vind je dat het maar beter onder de pet gehouden moet worden?Het gaat om een inbraak uit 2017 for gods sake... Dat is echt al prehistorie in de digitale wereld... al 6 jaar geleden..
Wordt nu gebracht als 'breaking news'... de chinezen vallen ons aan....
De term FUD vind ik trouwens meer passen bij hoe jij je reactie brengt dan bij hoe het nieuws is gebracht.
25-11-2023, 12:10 door
Anoniem
Het lukte de hackers om toegang te krijgen tot accounts van medewerkers. Gebruikersnamen werden achterhaald dankzij gegevens uit eerdere datalekken bij LinkedIn en Facebook. De wachtwoorden van de accounts werden 'met bruut rekengeweld' geraden, waardoor de hackersgroep toegang kreeg tot het VPN-netwerk van NXP.
https://nos.nl/artikel/2499102-chinese-hackersgroep-had-2-5-jaar-toegang-tot-netwerk-van-chipfabrikant-nxp
https://nos.nl/artikel/2499102-chinese-hackersgroep-had-2-5-jaar-toegang-tot-netwerk-van-chipfabrikant-nxp
25-11-2023, 14:30 door
Xavier Ohole
Door Anoniem:
('rubber hose cryptanalysis' ).
Aardig,maar totaal niet relevant als illustratie bij deze aanval .
Door Xavier Ohole: $5 wrench - https://xkcd.com/538/
('rubber hose cryptanalysis' ).
Aardig,maar totaal niet relevant als illustratie bij deze aanval .
Zeer relevant want men heeft de vector mens i.p.v. de techniek gebruikt voor deze aanval.
25-11-2023, 16:12 door
Anoniem
Door Xavier Ohole:
Zeer relevant want men heeft de vector mens i.p.v. de techniek gebruikt voor deze aanval.
Door Anoniem:
('rubber hose cryptanalysis' ).
Aardig,maar totaal niet relevant als illustratie bij deze aanval .
Door Xavier Ohole: $5 wrench - https://xkcd.com/538/
('rubber hose cryptanalysis' ).
Aardig,maar totaal niet relevant als illustratie bij deze aanval .
Zeer relevant want men heeft de vector mens i.p.v. de techniek gebruikt voor deze aanval.
Onzin . Iemand martelen voor een password is totaal anders dan een hergebruikt password raden.
Zo ken ik er nog wel één : elke technische hack en elke bug is ook een vector mens want de programmeur was een mens.
25-11-2023, 16:18 door
Joep Lunaar
NXP is een zeer belangrijke leverancier van chips die iets cryptografisch kunnen en worden gebruikt in smartcards en betaalkaarten, tamper free devices. Met de komst van DORA zal een behoorlijke "intrusion detection" voor dit soort omgevingen een plicht worden en daarmee zou het langdurig rondneuzen en data versturen als het goed is veel lastiger worden.
25-11-2023, 16:21 door
Anoniem
Door Anoniem:
Op een eerder moment +/- 8 jaar geleden opperde ik hier het voorstel om bedrijfsgevoelige systemen onafhankelijk te laten functioneren, dus zonder internet.
Door Anoniem:
Volledig mee eens."Bij NXP nemen we databeveiliging zeer serieus." (bron: NRC)
Ja, dank je de koekoek NXP! Inbrekers bijna 2 jaar in je systemen ongemerkt laten rondneuzen, noem ik niet echt het toepassen van serieuze beveiliging!Op een eerder moment +/- 8 jaar geleden opperde ik hier het voorstel om bedrijfsgevoelige systemen onafhankelijk te laten functioneren, dus zonder internet.
Het ligt eraan hoe je 'bedrijfskritisch' definieert . Iets als fabrieksaansturing kun je - nog steeds met moeite - nog wel loskoppelen.
Maar ontwerp, en zeker vertrouwelijke informatie die onder NDA wel met klanten gedeeld worden, dat zijn zaken waar je gewoon geen airgap vol kunt houden - teveel interactie met 'de rest van de wereld' .
Hier was een sprake van 'VPN en medewerkers' - als je dat nodig hebt (thuiswerk, andere locaties) kun je alles waar die mensen mee moeten werken niet airgappen.
LOS KOPPELEN/Gescheiden opstelling of zo.
Wat een diep bedroevende security met een veel te hoog salaris loopt daar rond.
Sorry , maar dat is de reden waarom security werk moeilijk is : je bent niet de zonnekoning die alles mag dichtgooien want veiligheid boven alles.
Je bent er om de zaak veilig te houden *terwijl het bedrijf ook nog kan werken* .
Of juist met een te laag salaris, en zijn de mensen die echt wat kunnen niet geinteresseerd daar...
25-11-2023, 16:40 door
Anoniem
Door Drs Security en Privacy: Duidelijk geval van hergebruiken van wachtwoorden, slecht beveiligde 2FA doos zodat ze de telefoon nummers konden wijzigen.
Overigens, heel verstandig eerst een ander nederlands bedrijf te hacken en die dan als stepping stone te misbruiken. Daardoor faalt de check op GeoIP. De luchtvaart sector staat overigens niet bepaald erg bekend voor zijn informatiebeveiliging, dus tja ook dat is weer niet zo verbazend.
Overigens, heel verstandig eerst een ander nederlands bedrijf te hacken en die dan als stepping stone te misbruiken. Daardoor faalt de check op GeoIP. De luchtvaart sector staat overigens niet bepaald erg bekend voor zijn informatiebeveiliging, dus tja ook dat is weer niet zo verbazend.
Beter lezen, Drs. Transavia werd gehacked vanuit NXP , en had het wel door - op die manier werd NXP gevonden.
De inbraak bij NXP komt aan het licht na onderzoek bij luchtvaartmaatschappij Transavia. Uit loggegevens blijkt dat de aanvallers die bij Transavia inbraken ook verbinding maken met ip-adressen in Eindhoven, waar het hoofdkantoor van NXP staat.
Je zou zelf met enige regelmaat je wachtwoorden door een password kraker kunnen halen bijvoorbeeld.
Je zou 2FA telefoonnummers kunnen vergelijken met het bedrijfsadresboek .
Het _kan_ wel dat dat andere nummers zijn bij sommige mensen, maar je kunt daar best die mensen even over navragen of dat klopt.
Je kunt kijken naar erg wisselende IP logins - ook daar zijn best vals alarmen te bedenken maar 'normale' thuiswerkers hebben gewoon een erg vast IP.
En dat ze 2 jaar konden rondneuzen? Als je legitieme authenticatie kan gebruiken, hoe wil je dat dan detecteren?
Beter kijken - er zijn patronen, en wat er hier speelde was beslist afwijkend .
Natuurlijk ook vals alarmen - sommige mensen werken onregelmatig en reizen veel . Maar als je genoeg filtert kun je de overgebleven zaken dieper onderzoeken .
Achteroverleunen omdat je alles 'perfect veilig' gebouwd hebt, en alleen maar wachten op een alarm van 10.000 x inloggen , dat kan niet.
Dat zouden dan de gebruikers zelf moeten hebben kunnen doen, want als de 06 nummers ineens zijn gewijzigd doet jouw 2FA het niet meer (tenzij er een tweede nummer aan toegevoegd is of ze extra accounts hebben aangemaakt)
Vermoedelijk waren het accounts van mensen die zelf amper VPN gebruiken , dan valt een (separaat) gewijzigd nummer niet op. Vandaar mijn idee om te vergelijken met nummers in het adresboek . Of gewoon te eisen dat VPN nummer het nummer van het adresboek is. Dan valt het wel op als een collega belt en het nummer niet klopt. In elk geval na een tijdje.
Overigens had dit net zo goed elk ander willekeurig Nederlands bedrijf kunnen zijn, omdat het toevallig NXP is (voormalig Phillip) is het nu ineens nieuws?
Nu lezen we _hier_ ook wel wanneer een boekhoud kantoortje (of een Amerikaans Sheriff kantoor uit Nowwhere, TN) een probleem heeft, maar 'vitale industrie' is gewoon nieuwswaardiger.
En zeker als het er alle schijn van heeft dat die - voor het soort doelwit dat ze zijn - gewoon echt te weinig aan hun beveiliging gedaan hadden.
25-11-2023, 17:13 door
Anoniem
Dit is waarschijnlijk dezelfde groep die achter de Taiwan Semiconductor Manufacturing Company (TSMC) zit.
https://www.zdnet.com/article/black-hat-hackers-are-now-using-cobalt-strike-and-skeleton-keys-to-target-semiconductor-firms/[/url/Dat betreft dan Operations Chimera.
https://www.zdnet.com/article/black-hat-hackers-are-now-using-cobalt-strike-and-skeleton-keys-to-target-semiconductor-firms/[/url/Dat betreft dan Operations Chimera.
25-11-2023, 17:44 door
Anoniem
Door Anoniem:
Van een chipfabrikant bevreemdt het me dan wel weer dat zo naïef te zijn. Aan de andere kant, ik heb zelf ondervonden hoe onder hoge werkdruk de kwaliteit van je denken en dus ook van je keuzes en beslissingen achteruit gaat. Misschien is de kennis er in essentie wel maar niet de rust en ruimte die nodig is om die kennis goed toe te passen.
Door Anoniem:
Beveiliging serieus nemen is iets anders dan serieuze beveiliging. Iemand die veel te naïef is op het gebied van beveiliging kan het bloedserieus nemen zonder te beseffen dat de bloedserieus genomen maatregelen zwaar ontoereikend zijn."Bij NXP nemen we databeveiliging zeer serieus." (bron: NRC)
Ja, dank je de koekoek NXP! Inbrekers bijna 2 jaar in je systemen ongemerkt laten rondneuzen, noem ik niet echt het toepassen van serieuze beveiliging!Van een chipfabrikant bevreemdt het me dan wel weer dat zo naïef te zijn. Aan de andere kant, ik heb zelf ondervonden hoe onder hoge werkdruk de kwaliteit van je denken en dus ook van je keuzes en beslissingen achteruit gaat. Misschien is de kennis er in essentie wel maar niet de rust en ruimte die nodig is om die kennis goed toe te passen.
Het klopt dat onder druk de kwaliteit gaat leiden .
Maar het is een beleids/strategische keuze wanneer een security team te klein /te druk is om het gewenste beveiligingsniveau te kunnen halen.
Natuurlijk is dat soms het gevolg van te weinig geld .
Ik heb niet naar beurscijfers gekeken, maar bij de naam 'NXP' verwacht ik 'genoeg geld' - en dan is het wel een keuze wanneer die afdelingen klein zijn om het - voor dit bedrijf noodzakelijke - niveau van beveiliging en monitoring in te richten.
Het is nog niet uitgesloten dat degenen die keuzes maakten gewoon niet zo capabel waren , en hun budget alleen maar verkeerd besteed hebben . (meer dan genoeg leveranciers die je gouden dozen verkopen wanneer je belt met 'hallo ik ben NXP' , en niet altijd haal je daar meerwaarde uit).
25-11-2023, 17:56 door
Anoniem
Door Joep Lunaar: NXP is een zeer belangrijke leverancier van chips die iets cryptografisch kunnen en worden gebruikt in smartcards en betaalkaarten, tamper free devices.
Dat is zo, maar dat zou qua beveiling van devices niet uit moeten maken. Zoals met alle crypto - je mag het niet laten afhangen van het geheim zijn van algorithme of apparaat .
Uiteindelijk - een aanvaller met voldoende middelen kan chips - ook tamper free- reverse engineeren.
Je moet er absoluut op rekenen dat China dat kan .
Natuurlijk - het scheelt een hoop werk als dat niet hoeft .
Maar ik denk dat het doel/nut van deze spionage vooral economisch is. NXP is een behoorlijk grote speler op diverse chip gebieden , en het scheelt concurrentie een hoop werk om in die keuken te kijken.
Met de komst van DORA zal een behoorlijke "intrusion detection" voor dit soort omgevingen een plicht worden en daarmee zou het langdurig rondneuzen en data versturen als het goed is veel lastiger worden.
Een bedrijf als NXP had dat gewoon - puur uit eigenbelang - allang op orde moeten hebben.
Wat ouder nieuws, ook NXP verwant :
Jean-Jacques Quisquater ,Belgische top cryptoloog en consultant bij NXP werd gehacked , vermoedelijk door NSA/GCHQ .
https://www.standaard.be/cnt/dmf20140201_011
25-11-2023, 20:52 door
Anoniem
Door Anoniem:
Het klopt dat onder druk de kwaliteit gaat leiden .
Het klopt dat onder druk de kwaliteit gaat leiden .
Dat zou wel moeten ja. Maar je bedoelt wellicht dat de kwaliteit gaat lijden. Toch wel even heel wat anders.
25-11-2023, 20:55 door
Anoniem
Door Anoniem: Dit is waarschijnlijk dezelfde groep die achter de Taiwan Semiconductor Manufacturing Company (TSMC) zit.
https://www.zdnet.com/article/black-hat-hackers-are-now-using-cobalt-strike-and-skeleton-keys-to-target-semiconductor-firms/
Dat betreft dan Operations Chimera.
https://www.zdnet.com/article/black-hat-hackers-are-now-using-cobalt-strike-and-skeleton-keys-to-target-semiconductor-firms/
Dat betreft dan Operations Chimera.
Deze Threat Actor staat ook bekend om het gebruik van de "Skeleton key"
https://cycraft.com/download/CyCraft-Whitepaper-Chimera_V4.1.pdf
A unique account manipulation malware - SkeletonKeyInjector – was used.
SkeletonKeyInjector contained code extracted from Dumpert and Mimikatz. This malware
implanted a skeleton key into domain controller (DC) servers to continuously conduct lateral
movement (LM). Additionally, by making direct syscalls, the malware could bypass security
products based on API hooking. This malware was discovered in the two cases mentioned in
this report.
25-11-2023, 23:50 door
Anoniem
Door Anoniem:
Dat zou wel moeten ja. Maar je bedoelt wellicht dat de kwaliteit gaat lijden. Toch wel even heel wat anders.
Door Anoniem:
Het klopt dat onder druk de kwaliteit gaat leiden .
Het klopt dat onder druk de kwaliteit gaat leiden .
Dat zou wel moeten ja. Maar je bedoelt wellicht dat de kwaliteit gaat lijden. Toch wel even heel wat anders.
Oeps. Bloos. Normaal maakt ik dat soort thinko's niet , en ik stond niet eens onder druk.
Haast een tegenovergestelde betekenis.
26-11-2023, 07:12 door
Anoniem
Toch wel even heel wat anders.
Voor mensen die niet de hele dag met de smartphone bezig zijn begrijpen dat ook wel, dus toch weereen voordeel zonder die smartphone.
26-11-2023, 12:46 door
Anoniem
Ook de Blog van Fox-IT is verdwenen, die dit onderzoek hebben gedaan is verdwenen.
https://blog.fox-it.com/2021/01/12/abusing-cloud-services-to-fly-under-the-radar/[/url/]Het Webarchive toont nog wel de tekst.
https://blog.fox-it.com/2021/01/12/abusing-cloud-services-to-fly-under-the-radar/[/url/]Het Webarchive toont nog wel de tekst.
26-11-2023, 14:32 door
Anoniem
Was dat niet een bug in de windowsomgeving dat er credentials gevonden werden in de logbestanden?
Ik heb zelf nog niet zo lang geleden gewerkt bij een grote ICT dienstverlener en gemerkt dat ik vanuit een internetcafe overal bij kon (incl klanten) terwijl men zei dat het onmogelijk was.
Als je eenmaal een account heb verkregen is er altijd wel een VM te vinden (of je bent instaat om deze zelf te creëren) waar je een reverse ssh tunnel met remote portforwarding kan opzetten met een externe jumphost in de cloud of thuis. Hierdoor kan je vanuit het cafe met de webbrowser via de jumphost dwars door de firewall naar binnen en overal grafisch bij.
Probleem is dat bij die grote jongens weinig of geen professionele Linux- en netwerkkennis aanwezig is, terwijl ze het wel gebruiken.
Die windowskoekenbakkers hebben geen idee wat er allemaal kan en dat je van alles door 1 port kan sturen en dat je die dus ook van binnen naar buiten moet "dichtzetten". Wat ze wel weten dicht te zetten is dat je Office365 alleen onder windows thuis kan gebruiken.
Ik heb zelf nog niet zo lang geleden gewerkt bij een grote ICT dienstverlener en gemerkt dat ik vanuit een internetcafe overal bij kon (incl klanten) terwijl men zei dat het onmogelijk was.
Als je eenmaal een account heb verkregen is er altijd wel een VM te vinden (of je bent instaat om deze zelf te creëren) waar je een reverse ssh tunnel met remote portforwarding kan opzetten met een externe jumphost in de cloud of thuis. Hierdoor kan je vanuit het cafe met de webbrowser via de jumphost dwars door de firewall naar binnen en overal grafisch bij.
Probleem is dat bij die grote jongens weinig of geen professionele Linux- en netwerkkennis aanwezig is, terwijl ze het wel gebruiken.
Die windowskoekenbakkers hebben geen idee wat er allemaal kan en dat je van alles door 1 port kan sturen en dat je die dus ook van binnen naar buiten moet "dichtzetten". Wat ze wel weten dicht te zetten is dat je Office365 alleen onder windows thuis kan gebruiken.
27-11-2023, 14:25 door
PJW9779
Uit de werkwijze van de hackers - o.a. niet opschonen van logs - valt af te leiden dat het geen professionals waren.
<snip>
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
